Complément d’informations sur l’erreur “Failed to open the runspace pool. The Server Manager WinRM plug-in might be corrupted or missing”

Bonjour à tous

Lors du déploiement d’un serveur Windows 2012 Server R2, j’ai été confronté à un problème assez original. Il était impossible de gérer (ajout / suppression) les rôles ou les fonctionnalités Windows depuis la console Server Manager. En effet, une fois les rôles et/ou fonctionnalités à installer / supprimer sélectionnés, le Gestionnaire de Server affichait l’erreur suivante :
Failed to open the runspace pool. The Server Manager WinRM plug-in might be corrupted or missing”.
L’installation / suppression d’une fonctionnalité ou d’un rôle Windows fonctionnait parfaitement en PowerShell  (commandes comme Add-WindowsFeature du module PowerShell du Server Manager.

Le problème provenait en fait d’une stratégie de groupe qui définissait le paramètre « Allow Remote Shell Access » à la valeur « Désactivé » chez le client.
Pour plus d’informations sur Windows Remote Shell, je vous invite à lire les articles suivants :
https://blogs.technet.microsoft.com/arnaud_jumelet/2010/10/24/administration-laide-de-windows-remote-shell-winrs/
https://support.microsoft.com/en-us/kb/555966

Hypothèse à vérifier : il semblerait que le Server Manager considère la machine locale comme une machine distante comme les autres ! En effet, depuis Windows 2012 R1, le Server Manager permet de gérer les rôles et les fonctionnalités de plusieurs serveurs en même temps (le serveur local et des serveurs distants). Cette fonctionnalité s’appuie sur WinRM lorsque les serveurs du pool sont sous Windows 2012 / 2012 R2. Je vous invite à lire les articles ci-dessous pour plus d’informations :
https://technet.microsoft.com/fr-fr/library/hh921475(v=ws.11).aspx
https://support.microsoft.com/en-us/kb/555966

A+
Guillaume MATHIEU
Directeur Technique de Metsys

Publié dans Bug, Système, Windows 2012, Windows 2012 R2 | Laisser un commentaire

Livre sur la sécurité Active Directory -> la version numérique vous est offert !

Salut à tous.

Mon livre sur la sécurité d’Active Directory est en ligne et disponible gratuitement.
Vous pouvez le télécharger à cette adresse.
http://www.metsys.fr/livre/livre.html

Bonne lecture !

Plan du livre:
Introduction
1. Concevoir un annuaire sécurisé et qui répond aux besoins de l’entreprise
1.1 Les notions fondamentales
1.2 Analyser le besoin de votre entreprise
1.3 Choisir une topologie Active Directory
1.3.1 Exception 1 : une société avec des entités indépendantes
1.3.2 Exception 2 : des applications qui modifient le schéma Active Directory
1.3.3 Exception 3 : les hébergeurs
1.3.4 Exception 4 : les contraintes légales
1.3.5 Exception 5 : travailler avec les concurrents
1.3.6 exceptions 6 : applications hébergées dans le cloud
1.4 Utiliser Active Directory comme annuaire d’entreprise
1.4.1 Synchroniser l’annuaire avec d’autres sources de données (bases RH…)
1.4.2 Synchroniser Azure Active Directory avec Active Directory
1.4.3 Héberger les données de l’entreprise dans l’annuaire Active Directory
1.4.4 Comment et qui doit administrer ces attributs ?
1.4.5 Protéger les attributs qui contiennent des données sensibles
1.4.6 Permettre à un utilisateur de visualiser la valeur d’un attribut protégé
1.5 Renforcer la sécurité du service DNS
1.5.1 Quel est le lien entre Active Directory et le DNS
1.5.2 La mise à jour DNS dynamique
1.5.3 Quelles sont les attaques possibles avec le service DNS
1.5.4 Sécuriser vos serveurs DNS
1.6 Elévation de privilège avec l’utilisation du Sid History
1.6.1 Faire une augmentation de privilège avec le Sid History
1.6.2 Pour supprimer le Sid History
2. Les bonnes pratiques pour déléguer l’administration de son annuaire
2.1 Les principes fondamentaux de la délégation d’administration
2.1.1 Les différents types d’administrateurs Active Directory
2.1.2 Les groupes avec des privilèges d’administration
2.1.3 Déléguer l’administration à un utilisateur standard
2.2 Déléguer l’administration avec les unités d’organisation
2.3 Créer des comptes nominatifs et dédiés pour l’administration
2.4 Déléguer uniquement les permissions requises
2.5 Désactiver le compte Invite et renommer le compte Administrator
2.6 Auditer les permissions sur les objets Actives Directory
2.7 Auditer les permissions de l’objet Adminsdholder
2.8 Activer la veille écran avec mot de passe
2.9 Désactiver les comptes inactifs
2.10 Les outils tiers pour simplifier la délégation d’administration
3. Définir une politique de mots de passe d’entreprise
3.1 Analyser les besoins de l’entreprise pour la politique de mots de passe
3.2 Réduire le nombre de login / mots de passe différents
3.2.1 Limiter le nombre de login / mot de passe à retenir
3.2.2 Configurer vos applications pour s’authentifier avec Active Directory
3.2.3 Utiliser le coffre-fort Windows
3.2.4 Utiliser les protocoles de fédération d’identité
3.3 Les outils de gestion de mots de passe Microsoft
3.3.1 Les stratégies de mots de passe de la Default Domain Policy
3.3.2 Les objets PSO (fine-grained Password)
3.4 Les outils tiers de gestion des mots de passe
3.4.1 Réinitialiser son mot de passe sans contacter l’équipe informatique
3.4.2 Garantir l’identité de l’utilisateur
3.4.3 Configurer la complexité des mots de passe
3.5 Trouver le mot de passe d’un utilisateur via le réseau
3.6 Utiliser des objets MSA et GMSA pour les services et les taches planifiées
3.7 Lister tous les comptes qui n’ont pas changé de mots de passe depuis plusieurs années
3.8 Réinitialiser le mot de passe des utilisateurs avec des cartes à puces
3.9 Restreindre l’utilisation de l’option « Password Never Expires »
3.10 Le stockage des mots de passe avec Active Directory
3.10.1 Qu’est-ce qu’une empreinte (ou hash) ?
3.10.2 Le Lmhash (Lan manager hash
3.10.3 Le Nthash (NT Lan manager hash)
3.11 Récupérer le mot de passe d’un utilisateur avec le Lmhash
3.11.1 La procédure
3.11.2 Comment désactiver le Lmhash
3.12 Récupérer le mot de passe d’un utilisateur avec le Nthash
3.12.1 La procédure
3.12.2 Comment protéger les mots de passe
3.13 Protéger les mots de passe stockés sur les machines Windows
3.13.1 Les services et les taches planifiées
3.13.2 Le cache des sessions Windows
3.14 Définir une stratégie de mots de passe cible
4. Renforcer la sécurité des protocoles d’authentification
4.1 Le protocole Ldap
4.1.1 Ldap simple Bind
4.1.2 Ldap SASL Bind
4.2 Présentation du protocole Ntlm v2
4.3 Présentation du protocole Kerberos v5
4.4 La délégation d’authentification Kerberos
4.5 Les bonnes pratiques pour renforcer la sécurité de l’annuaire active directory
4.5.1 Bloquer les connexions Ldap Simple Bind sans SSL / TLS
4.5.2 Activer la signature du trafic Ldap
4.5.3 Désactiver les protocoles d’authentification Ntlm
4.5.4 Configurer algorithme de chiffrement Kerberos
4.5.5 Configurer la synchronisation horaire
4.5.6 Interdire la délégation Kerberos pour les comptes d’administration
4.6 Elévation de privilège avec la technique Ntlm Pass the hash
4.6.1 Comprendre une attaque Ntlm Pass the hash
4.6.2 La procédure pour une attaque Ntlm Pass the hash
4.6.3 Se protéger contre les attaques Ntlm Pass the hash
5 La gestion des accès avec Active Directory
5.1 Les Sid
5.2 Les permissions
5.3 Les privilèges
5.4 Les processus
5.5 Les services
5.6 Les jetons d’accès (Access Token)
5.7 Elévation de privilège avec le vol d’un jeton d’accès
5.7.1 Présentation de l’outil Incognito
5.7.2 Procédure d’utilisation de l’outil Incognito
5.7.3 Comment bloquer l’outil Incognito ?
6. Industrialiser et sécuriser le déploiement des contrôleurs de domaine
6.1. Déployer uniquement une version supportée de Windows server
6.2 Héberger les contrôleurs de domaine dans un emplacement sécurisé
6.2.1 Quels sont les risques si un attaquant a un accès physique à un contrôleur de domaine ?
6.2.2 Comment empêcher un attaquant d’accéder au fichier ntds.dit ?
6.3 Déployer les correctifs de sécurités sur les contrôleurs de domaine
6.3.1 Pourquoi est-il nécessaire de déployer les correctifs de sécurité ?
6.3.2 Installation des correctifs de sécurité sur les contrôleurs de domaine
6.4 Réduire la surface d’attaque des contrôleurs de domaine
6.5 Ne jamais arrêter le service Windows firewall
6.6 Configurer l’UAC
6.7 Désactiver la mise en cache hors connexion des sessions
6.8. Renforcer la sécurité du Bureau à Distance
6.8.1 Utiliser des stations de travail d’administration
6.8.2 Configurer le service Bureau à Distance
6.8.3 Autoriser uniquement les outils d’administration
6.8.4 Configurer le client Bureau à Distance
6.8.5 Utiliser la fonctionnalité « restrictedadmin »
6.9 Restreindre l’accès à Internet des contrôleurs de domaine
6.10 Configurer le mot de passe DSRM
6.11 Déployer une configuration standard sur tous les contrôleurs de domaine
6.11.1 Configurer IPV6
6.11.2 Déployer un antivirus a jour et configurer les exclusions
6.11.3 Utiliser l’assistant de configuration de la sécurité
6.11.4 Tester votre image dans un environnement de qualification
6.11.5 Quelques retours d’expériences sur le déploiement de Windows 2012 R2
7. Mettre en place une politique de prévention des risques
7.1 Auditer les changements effectués sur l’annuaire et les tentatives d’accès
7.1.1 Configurer le journal Security
7.1.2 Configurer les éléments à auditer
7.1.3 Collecter le journal Security des contrôleurs de domaine et générer un rapport quotidien
7.2 Auditer la sécurité de votre annuaire
7.3 Superviser votre annuaire active directory
7.3.1 Présentation de l’outil DCDIAG
7.3.2 Déploiement de la solution
7.4 Disposer d’un plan de reprise informatique (PRI) Active Directory
7.5 Protéger vos sauvegardes active directory et les fichiers IFM (Install From Media)
8. Annexes
8.1 Procédure de déploiement d’une autorité de certification Microsoft
8.2 Procédure d’activation de Bitlocker sur un contrôleur de domaine
8.2.1 Présentation de la solution pour chiffrer les disques durs des contrôleurs de domaine
8.2.2 Mise en œuvre de Bitlocker sur des contrôleurs de domaine Windows 2012 R2
8.3 Bibliographie :
8.3.1 Livres recommandés
8.3.2 Microsoft Active Directory Technical Specification
8.3.3 Pour comprendre les protocoles Ntlm et Kerberos avec Active Directory
8.3.4L es recommandations sur la sécurité active directory de l’ANSII
8.3.5 Recommandation Microsoft sur la sécurité de l’annuaire Active Directory
8.3.6 Recommandation sur la configuration du service terminal server
8.3.7 Autres liens

A+
Guillaume MATHIEU
Architecte Metsys
La connaissance s’accroît quand on la partage.

Publié dans Active Directory, Annuaire, Sécurité | 14 commentaires

Vidéo de ma session techdays sur la sécurité Active Directory

Salut à tous

La video de ma session Techdays sur la sécurité Active Directory.
Cette session se base sur 8 demonstrations :
1. Comment les hackers récupèrent les mots de passe Active Directory ?
Avec le fichier NTDS.DIT (démo)
Avec  le mot de passe d’un service Windows (démo)
Avec une capture réseau
2. Comment les hackers peuvent élever les privilèges ?
Via NTLM Pass The Hash (démo)
Via l’outil INCOGNITO (démo)
Via le SID History (démo)
3. Comment les hackers peuvent récupérer un accès SYSTEM ?
4. Comment effectuer un déni de service avec Metasploit ?
Bonne session !

https://www.youtube.com/watch?v=hD9NQppdVNQ

A+
Guillaume MATHIEU
Architecte et Responsable Avant-Vente Metsys
La connaissance s’accroît quand on la partage.

Publié dans Windows Server 2008 | 3 commentaires

Vener nombreux à la session Techdays sur la sécurité Active Directory !

Salut à tous

L’heure est venue pour moi d’animer ma première session Techdays.
Cette dernière aura lieu le mercredi 11 février 2015 de 14h à 14h45.
Le thème : la sécurité Active Directory.
Petit cadeau : un livre (au format papier, on fait les choses en grand chez Metsys) vous sera remis en fin de session.

Pour vous inscrire :
https://techdays.microsoft.fr/programmes/2015/fiche-session.aspx?ID=b960caa2-e29a-40c6-999d-491a7ed60373.

Bonne journée.

Guillaume MATHIEU
Architecte Metsys
La connaissance s’accroît quand on la partage.

Publié dans Windows Server 2008 | 7 commentaires

Problème d’ouverture de session lente à cause d’un Repository WMI corrompu

Salut à tous.

1. Description du problème
Sur certaines stations de travail, l’ouverture d’une session nécessitait plus de 1 heure.
Ce problème se posait aléatoirement.

2. Analyse du problème
Le problème provenait d’une défaillance du service WINMGMT (Infrastructure de gestion liée au passage du SP1 sur le serveur SCCM 2012 :
https://social.technet.microsoft.com/Forums/en-US/84972757-8b82-44ff-95a7-8ccdfaf3d0ba/upgrade-to-system-center-configuration-manager-sp1-caused-wmi-dcom-http-errors?forum=configmanagergeneral
La taille du répertoire %windir%\System32\Wbem\Repository était de plus de 1,5 Go sur certaines machines.
SCCM bloque l’arrêt de WMI ce qui bloquait la procédure de réparation automatique du service WINMGMT.
Le log suivant apparaissait sur les machines posant problème :
Nom du journal :Application
Source : Microsoft-Windows-WMI
Date : 17/10/2014 09:58:51
ID de l’événement :65
Catégorie de la tâche :Aucun
Niveau : Avertissement
Mots clés : Classique
Utilisateur : N/A
Ordinateur : MSREPORT95.msreport.local
Description :
Le service WMI (Windows Management Instrumentation) commence la restauration du référentiel WMI

3. Correction du problème
Pour corriger le problème, il est nécessaire :
De reconstruire le répertoire C:\Windows\System32\wbem\Repository des stations de travail qui ont l’erreur Microsoft-Windows-WMI ID 65 en appliquant la procédure suivante :
http://blogs.technet.com/b/askperf/archive/2009/04/13/wmi-rebuilding-the-wmi-repository.aspx
De réparer le client SCCM sur les stations de travail pour que SCCM ajoute les classes WMI qui ont été supprimés à l’aide du script ci-dessous ou d’une réparation manuelle du client SCCM : https://gallery.technet.microsoft.com/SCCM-Client-Utility-WMI-ec270313

4. Correctifs à déployer
Je vous invite à déployer aussi les correctifs suivants.
Pour corriger les problèmes de corruption WMI : http://support.microsoft.com/kb/2617858/en-us
Pour corriger les problèmes de lenteur d’ouverture de session à cause d’un bug dans les GPO de Préférences : http://support.microsoft.com/default.aspx?scid=kb;EN-US;2561285

5. Comment diagnostiquer les autres problèmes d’ouverture de session lente
Etape 1 : Faire un premier état des lieux
Le but est de déterminer les changements qui ont été effectués depuis l’apparition de problème.
– Vérifier le bon fonctionnement du réseau. Je vous invite à utiliser la commande suivante : Ping IP_DC –l 56000 –t.
Vérifier que vous n’avez pas de problème de perte de paquets.
– Vérifier le bon fonctionnement de votre annuaire Active Directory en lançant la commande : DCDIAG /V /E > c:\Dcdiag.txt.
– Sur les stations de travail qui rencontrent des problèmes de lenteur d’ouverture de session, lancer la commande SET pour afficher le contrôleur de domaine utilisé pour ouvrir la session. Vérifier que votre sous réseau IP est bien rattaché à un site Active Directory dans la console Sites et Services Active Directory. Valider aussi que vous utilisez bien le contrôleur de domaine légitime.
– Sur les stations de travail qui rencontrent des problèmes de lenteur d’ouverture de session, lancer un jeu de stratégie résultant (console rsop.msc) pour lister toutes les paramètres de GPO / scripts qui s’appliquent aux machines et aux utilisateurs. Essayer à cette étape de déterminer si des paramètres GPO / scripts ont été modifiées depuis l’apparition du problème.
– Désactiver TCP Offline Engine sur quelques machines qui ont déjà rencontrées le problème. C’est particulièrement vrai sur les anciennes générations de machines. Voir :
http://support.microsoft.com/kb/951037/en-us
http://technet.microsoft.com/fr-fr/library/gg162682(v=ws.10).aspx
– Analyser les observateurs d’événements (journal Application et Système) d’une station de travail. Filtrer l’affichage que sur les erreurs, événements critique et avertissement pour gagner du temps.

Etape 2 : Créer un environnement de tests
Si vous n’avez pas pu identifier l’origine des problèmes, sur un échantillon de machine qui ont déjà rencontrés le problème, effectuer les actions suivantes :
– Définissez une configuration simplifiée de scripts / GPO. Ne mettre que les paramètres nécessaires comme le proxy ou les paramètres pour lancer correctement vos applications.
– Configurer les utilisateurs pour utiliser un profil local (si utilisation d’un profil itinérant) et désactiver les fichiers hors connexions et si possible la redirection de dossiers.
Je vous invite à lire cet article http://msreport.free.fr/?p=436.
– Déployer sur ces machines Windows 7 les 2 correctifs suivants :
http://support.microsoft.com/kb/2617858/en-us
http://support.microsoft.com/default.aspx?scid=kb;EN-US;2561285
– Simplifier la configuration de votre antivirus. Vérifier que toutes les exclusions antivirus sont bien configurées comme indiqué dans cet article :
http://support.microsoft.com/kb/822158/en-us
– Désactiver la fonctionnalité Fast Logon en activant le paramètre de GPO suivant : Computer Configuration | Policies | Administratives Templates | System | Logon | Always wait for the network at computer startup and logon.
Pour plus d’informations sur la fonctionnalité « Fast Logon », je vous invite à lire l’article suivant :
http://support.microsoft.com/kb/305293/en-us
– Désactiver le pare feu sur ces machines. Vérifier que vous autoriser bien le trafic nécessaire pour la communication avec vos contrôleurs de domaine.
– Désactiver l’UAC. Pour rappel, sous Windows 8.1, pour désactiver complètement l’UAC, il faut désactiver l’UAC par stratégie de groupe en désactivant le paramètre « Exécuter les comptes d’administrateurs en mode d’approbation d’administrateur ».
Laisser tourner environ 1 semaine et demander aux utilisateurs d’ouvrir / fermer leur session tous les jours. Ces derniers doivent consigner dans un fichier Excel la durée d’ouverture / fermeture de session tous les jours.
– Analyser systématiquement les observateurs d’événements Application et Système sur les stations de travail et le contrôleur de domaine utilisé pour ouvrir la session (commande SET). IL faut rapidement comprendre si le problème provient de la configuration des contrôleurs de domaine ou des stations de travail.

Etape 3 : Passage en mode avancé
Si vous n’arrivez toujours pas à trouver l’origine du problème, je vous invite à lire très attentivement ces 3 excellents articles.
L’article ci-dessous est une véritable base de connaissance sur les causes possible de lenteur à l’ouverture de sessions :
http://social.technet.microsoft.com/wiki/contents/articles/10130.root-causes-for-slow-boots-and-logons-sbsl.aspx
Les deux autres articles expliquent comment mettre en place les logs avancés dans le système pour trouver l’origine des problèmes de lenteur d’ouverture de session
http://blogs.technet.com/b/instan/archive/2008/04/17/troubleshooting-the-intermittent-slow-logon-or-slow-startup.aspx
http://social.technet.microsoft.com/wiki/contents/articles/10123.troubleshooting-slow-operating-system-boot-times-and-slow-user-logons-sbsl.aspx

A+
Guillaume MATHIEU
Architecte METSYS
La connaissance s’accroît quand on la partage.
http://msreport.free.fr

Publié dans Active Directory, Annuaire, Bug, Outils, Performance, Système, Troubleshouting, Windows 2003 Server, Windows 2012, Windows 2012 R2, Windows Server 2008 R2 | Marqué avec , | 2 commentaires